警钟长鸣

苏州市全民国防教育协会

联系电话
0512-65563733
微信公众号

协会地址:苏州市虎丘路88号

警钟长鸣

当前位置: > 国防思想 > 警钟长鸣

解密中国互联网史上规模最大的泄密事件
发布者:创始人 发布时间:2013-11-14

 2011年已经过去,在这一年的最后几天,一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。

  自2011年12月21日开始,中国最大开发者技术社区CSDN的600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露800万用

户数据;25日,号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传;51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷入用户数据泄露风波;支付宝、当当网以及京东商城等电子商务网站亦未幸免;29日,网络传言交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露,恐慌感被推至高点,“泄密门”达到高潮。

 

  一时间,各种消息真假难辨,人人自危。

  2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日发布数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。

  2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。

  2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。

  国信办称,“其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。”

  1月11日,“泄密门”中第一个登场的CSDN在北京召开媒体发布会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN以“受害者”形象出现。其余相关信息被泄露的网站亦作出类似反应。

  同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经“告一段落”。

  泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。

  哪些信息丢了:“泄密”实与虚

  依据国信办2012年1月10日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。

  事件最早披露是在2011年12月4日,黑客“臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。

  2010年5月上线的乌云网,定位为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至2011年11月,已有接近4000个安全问题得到反馈和处理。

  随后半个多月内,事情并未引发公众关注。直到2011年12月21日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为 “CSDN-中文IT社区-600万.rar”的文件在网上疯传。

  四天后,12月25日,一份大小为386M的泄露文件“天涯数据.kz”让“泄密门”升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。

  事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。

  “此次信息泄露并无任何商业目的。”天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。

  依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。

  但与上述说法矛盾的是,在2011年12月28日时,当当网官方已就“当当网1200万用户信息遭泄露”发出公告称,该数据系2011年6月之前的老数据,是由于之前遭到网络黑客攻击被盗取;2012年1月4日,游侠安全网创始人张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。

  国信办通报还称,犯罪嫌疑人要某(网名“我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。

  而对于“泄密门”高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名“挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。

  通报发布当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒发布到个人网站,并非信息源头。

  此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。

  被“忽略”的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011年6月24日至12月29日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。

  令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。

  有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。”

  “整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”

  对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。

  蒋涛承认,过去安全意识薄弱:“从来没想过在安全上要做一些什么样的工作。”他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,“你的数据是怎么保存的,谁能获得它?”

  “因为自认为CSDN是以论坛用户为主的社区,数据并不属于敏感数据,技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。

  用户信息泄露后,CSDN请杭州安恒信息技术有限公司对其进行安全审计,结果表明主要有四方面问题:第三方系统漏洞;已停用的老系统;应用程序漏洞;系统后台认证。蒋涛对此表示,“我们有100台服务器,但是只有三名运维人员。”

  窃密者为什么:“黑产业”演进

  在网络安全圈内,CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。

  “拖库”在业内被戏称为“脱裤”,即黑客入侵有价值的网络社区,把会员资料数据库全部盗走,之后再利用这些数据库信息,或开展定点攻击,或利用用户在不同网站通用一套账号和密码的特点来“撞库”,扩大战果。

  “拖库”成功后,可以直接将数据整库出售,如卖给被“脱裤”网站的竞争对手,也可以按照数据所蕴含的价值进行“洗库”,即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来,直接或间接变现,几番“洗库”之后,数据库还能卖给产业链的下游利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。

  其时,网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。

  所谓“挂马”,是指不法分子在网页中嵌入恶意代码,当用户访问这些网页时,会自动下载、激活木马程序,变成受控的“肉鸡”,通过弹出广告、推广流氓软件等方式为远程控制者赚钱;而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、彩票网站等建立网站,将钓鱼网站和线下诈骗广泛结合,使得诈骗者的犯罪成本急剧下降,跨地区、甚至跨国性犯罪呈上升趋势。

  根据瑞星互联网安全报告,2011年上半年截获的“挂马”网站总数目为236万个,比上年同期下降了91.2%,这也是连续第二年以90%以上的幅度下降。原因在于,“挂马”受到各大网络安全公司严重打击,免费杀毒软件在个人终端的普及程度也大幅上升,这种网络攻击手段越来越无利可图。

  与之相反,网络“钓鱼”的危害程度达到新高,2011年上半年瑞星截获钓鱼网站218万个,逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算,造成直接经济损失至少在百亿元以上。

  与此同时,“拖库”作为一种网络犯罪形式日渐流行。在国际上,“拖库”已造成多起重大网络安全事件。例如2011年4月开始,索尼旗下的多个网站陆续被黑客攻陷,约1亿用户个人信息被黑客盗走,该事件导致索尼的直接经济损失超过千万美元,对其声誉和业务的影响更是巨大。

  一位不愿具名的某“网络安全俱乐部”组织者透露,在国外一些需要熟人推荐才能加入的地下站点,论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中,库不在大,而在于精。”该组织者对《财经》记者称,曾有个非常小众的国外站点一个高尔夫球俱乐部社区,“整个库的数据量也就几百M,却卖到了100多万元人民币”。

  实际上,“很多人不敢去深度开发,将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。

  根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处三年以上七年以下有期徒刑。

  在纽约证券交易所一家美国上市公司就职的一位企业架构师分析,黑客凭借自身网络技术,找一份体面的工作并不难,大部分人不会去实施犯罪行为,而是游走在边缘地带。从理论上说,黑客的入侵行为都会在网站日志里留下痕迹,一旦犯事,这些蛛丝马迹就会成为破案线索。

  然而,数据库所蕴藏的价值极具诱惑,部分黑客依然会实施深度发掘,只不过会主动控制风险。该企业架构师透露,最常见的手法是严格执行对被盗账户的小额操作即使单个账户中的虚拟货币很多,也只转出一部分,让账户主人很难察觉;即使被发现,由于每个孤立的窃取行为被控制在立案标准以外,账户主人也难以申诉。而且,要立案必然涉及跨地域问题,大大增加了追查成本。

  这样,尽管对每个账户攫取的价值不高,但汇集起来就是一个很大的规模。

  你安全吗:信息安全家底

  安天实验室首席架构师肖新光(网名江海客)告诉《财经》记者,攻击者在此前较长的时间里,获取了大量资源,应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播,起到了推波助澜的效果,这些影响也会慢慢消散。

  然而,“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。

  北京神州绿盟信息安全科技股份有限公司(下称绿盟科技)一位网络安全专家甚至称,“几乎所有国内互联网大站都出现过大批量的信息泄露问题”,只是碍于声誉不愿公开。

  多位网络安全专家向《财经》记者表示,目前国内网站安全整体现状不容乐观。

  这背后的原因,首先是安全意识淡薄。1月6日,在中国计算机学会青年计算机科技论坛上,国家计算机网络应急技术处理协调中心副总工程师杜跃进指出,国内很多网站都是“编程好了就完了,口令写在程序里面,直接在电信运营企业那里跑”,很少有人重视代码安全。

  此外,国内网站在信息安全方面的资金投入严重不足,中国的安全市场占全球的比例仅为个位数,安全投入在信息系统建设投入中的比例,与先进国家有太大差距。根据国际数据公司(IDC)数据,2010年全球信息安全市场的总额达到1188亿美元,同期中国信息安全市场的规模仅为12.48亿美元。IDC对12个国家2850家公司开展的一项调查结果显示,目前国外信息安全投入占整体IT信息投入的比例为14.5%,但在中国这一数字仅为6.5%。

  本已捉襟见肘的信息安全投入,还面临着贫富不均的尴尬。在肖新光看来,“如果没有对安全价值的共识,安全厂商一般很难和网站形成很紧密的合作。”互联网巨头建立了较大的安全运维团队,甚至会和安全厂商争抢人才;但在多数中小型网站,安全投入普遍很低,甚至没有独立的安全人员。此外,网站应用比较复杂,编程人员安全编码能力较差,也是很普遍的现象。

  360网站安全检测平台的数据显示,目前国内约83%的网站存在各种安全漏洞,其中34%为高危漏洞。这些漏洞导致最严重的后果就是用户数据库泄露。

  不过,如果采取了适当的加密方式,即使被“拖库”也不等于密码泄露,当“拖库”与不正确的加密方式同时发生时,才会导致密码泄露。

  此次泄密风波中,最让公众震惊的是交通银行等金融机构数据泄露的网络传言。北京宇信易诚科技有限公司网银产品部副总经理梁强认为:“对网银用户,传言造成的主要是心理上的影响。”

  与其他互联网服务将用户体验放在第一位不同,网银和第三方支付平台如支付宝等,在网站架构时就把安全性放在首位,宁可牺牲一些用户体验。

  网银系统的安全保障大致来自三个方面。在客户端,通过增加专用密码输入键盘、U盾等措施,降低安全风险。

  而在通信网络上,目前所有网银都是使用HTTPS通道。与网络常用的HTTP通道的直观区别在于,网络地址栏的开头显示为“https://”,而非“http://”。它相当于在HTTP通道构建了一个秘密安全通道,保证了用户与银行终端间信息传输的安全,提高侵入难度。

  为什么大多数网络社区不用这种更安全的传输方式呢?一个最关键的问题是成本的增加,如购买设备、后期维护及证书等,证书还要数年更换一次。同时,这也不利于有关机构对网络信息的监管。

  功夫下得最多的还是在银行的服务器端,包括网络架构安全、系统设计安全、Web应用安全、数据安全等方面,都有远胜普通网站的严格规范。仅以防火墙为例,一般网银系统至少设置三道防火墙,且在采购时,一定会选择不是同一家同一型号的产品。

  据梁强所知,在业内,网银安全事件曾有发生,但整体比例很小。“多数原因是内部的管理疏忽和内部程序逻辑等,外部攻击的案例极少;直接攻破服务器的案例,则几乎没有。”

  2010年1月28日,中国人民银行发布《网上银行系统信息安全通用规范(试行)》,对网银业务的发展提出了更多具体的保障要求,如明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作;强调客户端的安全性;对硬件数字证书的应用提出规范要求;交易机制的规范化基于客户计算机终端不安全的假定;关注Web应用安全等。

  梁强认为,对普通用户来说,过分担心网银和支付宝的安全问题意义不大,更应该注意的是,将在网银使用的用户名和密码与在普通论坛、网站使用的加以严格区分。

  实际上,多位受访专家均表示,此次泄露出的数据,受伤最重的是网民的隐私。一个直接的后果就是,你可能会接到更多的垃圾邮件、垃圾广告和推销电话。

  泄密的成本:无奈的用户

  黑客入侵的刑事案件进展备受关注。据国信办披露,截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件九起,编造并炒作信息泄露案件三起,刑事拘留四人,予以治安处罚八人。

  在现有法律框架内,《刑法修正案(七)》规定,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,并增加了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息等三项罪名。

  “信息泄露要制源头,要打‘老虎’,而不是打‘苍蝇’。”中国社会科学院法学研究所研究员周汉华表示。

  为何“苍蝇”难打?广东佛山网监支队一位警察向《财经》记者解释,黑客操作会被记录在被入侵方服务器日志上,网警通过电信部门查看路由日志查找入侵者IP地址。但很多时候,黑客往往几经兜转,连到国外服务器上去了,给其查找工作带来困难。

  CSDN等网络服务提供者,既是黑客入侵受害者,对用户而言,也是密码泄露责任者之一,用户能否追责?在国外,2011年4月索尼PlayStation游戏网络遭黑客入侵事件中,索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。之后一个月内,美国各级联邦法院就收到至少40起集团诉讼,指控索尼未能充分保护玩家个人数据和信用卡信息。

  这类案件通常遵循统一的模式:用户隐私信息被泄露引发大规模诉讼,企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。2004年,日本雅虎约有460万用户的个人信息外露,日本雅虎向每位用户“赔偿”6美元购物券。

  中国网络法律网首席法律顾问赵占领认为,国内用户也可以依据侵权责任法和民法,起诉泄密网站;但最大的操作难点在于,用户如何证明自己曾注册该网站,且拥有被泄露的账户信息;经济损失界定亦是难点。

  接近工信部通信保障局的人士向《财经》记者表示,目前并没有计划也缺乏明文依据对此次泄密的网站做出惩罚。

  上述接近工信部通信保障局的人士称,下一阶段的工作重点是,依据工信部2009年12月发布的《通信网络安全防护管理办法》(下称11号令)通知各企业加强网络信息安全保障。

  11号令是目前监管部门针对网络安全问题的主要处理依据,根据各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高划分为五级,实行分级管理。

  杜跃进向《财经》记者解释,自11号令实施以来,依照定级结果,工信部对通信行业网络单元展开了大量的安全评测和检查工作。2011年8月又启动了包括网站、论坛等在内的增值电信业务的安全防护试点工作。

  “本次用户数据泄露事件后,工信部加快了这方面的工作,目前已经完成了对一些试点网站业务的定级工作,下一步就需要进一步完善标准和实施安全评估、符合性评测以及安全检查等工作了。”蒋涛向记者表示,CSDN正在申请第二级等级保护。

  网络“裸奔”隐忧:法制待健全

  “网站的安全是不可信任的,无论是国内的还是国外的,你只能尽量控制信息的源头,一旦流出去了就基本脱离了你的控制。”绿盟科技上述网络安全专家说。

  用户名、密码及其他用户信息,是网站最大的价值所在。前述企业架构师说,做网站安全体系架构时,有一个重要原则,“永远不要保存无法保证安全的数据”。

  在这方面,韩国推行了四年有余的网络实名制面临尴尬。

  2007年7月,韩国正式开始实施网络实名制,成为世界上当时唯一实行这一监管政策的国家。该政策最初要求,每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册,网民只有通过网站的身份验证后才能进行留言。从2009年4月起,这项制度进一步扩大,每天访问人数超过10万的153家主要网站亦被划入。

  但是,随着时间的推移,网民个人信息遭泄露的情况时有发生。2011年7月,韩国SK通讯公司承认,旗下门户网站Nate和社交网站Cyworld被黑客攻击,不计算两家网站的用户重合部分,被盗取信息的用户数达3500万,而韩国总人口数为4900万。由于实行实名制,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。

  在向韩国总统李明博提交的2012年业务计划中,韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为,虽然该方案是“重新检讨”,但事实上更侧重于取消这一制度。

  “泄密门”发生后一周内,2011年12月29日,工信部发布调研一年之久的《互联网信息服务市场秩序管理若干规定》,以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。

  《财经》记者获得的一份由工信部信息安全协调司指导、全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术信息系统个人信息保护指南》(送审稿)中,对上述“妥善保管义务”作出解读,即“保护个人信息不为处理目的之外的任何个人或机构所知,采取门禁、数据加密、数据完整性检验等方式防止对个人信息处理场所和个人信息存储介质的未授权访问、损害和干扰”。

  该指南何时最终出台尚未可知,而且,“这只是一个推荐实施的国家标准,违反了也没有后果”。周汉华并不乐观。

  工信部电信研究院法律专家蔡雄山指出,在国内立法上,对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够。

  关于个人信息保护条款散见于《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规中;在监管机关层面,国内也缺乏明确的专职的个人信息保护机构,而以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。

  据了解,《个人信息保护法》的立法工作在2003年曾一度启动,如今仍处于搁置中。

  在网络信息安全监管层面,中国已有相关法律规范有百余部,除去《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》等专门立法外,还散见于《宪法》、《刑法》、《国家安全法》、《保守国家秘密法》、《治安管理处罚法》等中。承担信息安全监管工作的工信部、公安部、国家保密局以及国家密码管理局等都曾发布部门规章或相关规范性文件;而国家食品药品监督管理局、卫生部、银监会、证监会以及铁道部等也曾就各自主管领域发布规章文件。

  现状是,法律规定分散交叉、立法层级不高,缺乏一部专门的综合性信息安全法律来规范网络行为,明确用户、企业等相关方面责任义务的法律。

  2010年,工信部曾力推《信息安全条例》的出台,条例报送稿中对信息网络环境下法律主体的权利、义务,各种危害网络与信息系统安全行为等内容作出规定,迄今也并无新的消息。